观成瞰雾-同源加密威胁主动跟踪系统（ETI）是基于观成科技多年来自研的加密威胁智能检测技术体系，与云计算、大数据、人工智能等新一代信息技术相结合，以人工智能、自然语言处理为基础，联合专家经验、网络空间资产测绘、限定域指纹分析引擎、加密要素分析引擎以及大数据处理等综合方法，对同源加密威胁进行主动跟踪，形成具有加密要素多层面解析、同源威胁精细化关联、攻击者设施深度挖掘和AI驱动高质量加密威胁分析等特色的同源威胁加密威胁信息库，能够高效支持同源或变种加密威胁的数据管理与分析，持续跟踪与有效应对加密威胁。

1.主要创新

1.1. 多层加密要素深度分析技术

观成瞰雾-同源加密威胁主动跟踪系统具备丰富的加密要素管理与分析能力，通过对加密协议的深度分析，结合机器学习、深度学习、人工智能等技术，实现对TLS协议、SSH协议、RDP协议及TCP/UDP多种私有加密协议的深度分析和管理，从而为观成瞰雾-同源加密威胁主动跟踪系统的加密威胁数据和网络资产提供重要的加密要素信息。加密要素依据以下三个层面划分：

加密协议层面：协议版本、加密套件、扩展项、TLS限定域指纹等。

加密证书层面：证书元数据、证书序列号、证书颁发者、证书链、证书公钥、证书限定域指纹等。

加密数据层面：自定义威胁加密数据格式、加密密钥、加密算法、数据解密等。

1.2. 同源加密威胁精准关联技术

同源加密威胁是依据加密网络空间资产测绘技术实现，通过不间断扫描全球加密网络空间，可以准实时感知加密网络空间态势变化。同时，平台基于加密要素，针对攻防演练场景下的黑客工具、热门商业木马、APT家族等进行精细化威胁关联，快速发现同源加密威胁，达到“克敌先机”的效果。

目前，观成科技在加密流量威胁检测领域，已经能够识别70余款攻防演练黑客工具加密流量、超过200种恶意家族加密通信。检测范围覆盖入联攻击、横向攻击以及出联攻击等多个环节，不仅能够对TLS/RDP/SSH/DNS/ICMP/HTTP等加密流量进行精细化、细粒度的威胁检测，还能对TCP/UDP种的自定义加密通信种的恶意攻击行为进行检测。

1.3. 主动探测加密C&C识别发现技术

对于采用加密通信展开的网络攻击，可以借助沙箱自动化分析其样本，提取样本中行为特征、通信信息、加密要素等重要信息。而样本中行为特征、通信信息、加密要素的相似性与一致性，使得可以通过主动探测的方式，在网络空间中对关联的C&C进行深度挖掘。

观成瞰雾-同源加密威胁主动跟踪系统通过结合沙箱和加密网络空间资产测绘的通信分析、加密算法识别、加密数据解析技术，可以针对常见的恶意团伙、APT组织，基于深度分析发现其C&C加密特征、上线包加密特征，在加密网络空间资产测绘基础上进行全网探测，从而实时感知并掌握黑客团伙、APT组织的C&C基础设施最新动向。

1.4. AI驱动加密威胁数据高质量生产技术

观成瞰雾-同源加密威胁主动跟踪系统通过人工智能等最新技术，对加密威胁中的加密要素进行识别提炼，开展数据融合和数据质量评估及可信性评价。高效智能发现威胁实体关系，并以此为基础构建加密威胁知识图谱，生产高质量加密威胁的情报数据。

1.监管网络应用场景

2.关键基础设施单位网络安全保障应用场景

3.定制化应用场景